:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/d7/a7/d7a74fc125765e3aaa4a1cd46952f036/0109587894.jpeg "Checkmarx Supply Chain Threat Intelligence kombiniert Threat Intelligence mit Machine Learning, Retro Hunting und Cross-Language Hunting. (Bild: Checkmarx)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/fc/cffcdb017034d5478cacf1bcb30a7665/0109349789.jpeg "Um die Sicherheit von Daten und Systemen zu erhöhen und das Risiko von Angriffen oder Datenverlust zu reduzieren sollten Berechtigungen auf das absolut notwendige Minimum beschränkt werden. (Bild: frei lizenziert Fernando Arcos - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/48/084856af2569f600d6a8ddc908e286b4/0110345761.jpeg "„Unternehmen, die in ihre Mitarbeiter investieren, haben immer die Nase vorn, besonders in schwierigen Zeiten.“ sagt Erik Gaston, VP Global Executive Engagement bei Tanium. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Android soll Business-tauglich werden Google baut auf Samsung Knox
Google plant, das mobile Android-Betriebssystem künftig mit Funktionen von Samsung Knox auszuliefern. Was bedeutet das für die Anwender? Wie funktioniert Knox genau? Und wie sieht die derzeitige Umsetzung auf Samsung-Geräten aus? Security-Insider ist diesen Fragen auf dem Samsung Business Discovery Day nachgegangen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Samsung Knox ist eine Sicherheitsarchitektur und -erweiterung für Android, von der insbesondere Unternehmen beim Mobile Device Management (MDM) profitieren können. Um das System zu verstehen, beginnen wir mit der Anwendungsebene – dem Bereich, den der eigentliche Nutzer zu sehen bekommt.
Auf Anwendungsebene ist Knox vereinfacht gesagt eine Container-Lösung. Der private Bereich ist frei zugänglich, nur geschützt durch die vom Anwender gewählte Sicherheitssperre. Bei Android kann dies eine einfache Wischgeste sein, sicherer wird es mit Face Unlock (Gesichtserkennung), Entsperrmuster, PIN, Passwort oder mittlerweile auch Fingerabdruck-Erkennung.
Zusätzlich steht dem Anwender ein sicherer Bereich, also ein Daten- und App-Container zur Verfügung. Alle Anwendungen und Daten, die innerhalb dieses Containers abgelegt werden, sind von den Apps außerhalb des Containers getrennt. Vertrauenswürdige Anwendungen, beispielsweise bei Kontaktliste und Kalender, lassen sich je nach Einstellung aber Synchronisieren oder zumindest im Read-Only-Modus betreiben.
Verzahnung von geschäftlichen und privaten Bereichen
Da Samsung-Geräte standardmäßig mit Knox ausgeliefert werden, können Privatanwender die Container-Funktion durchaus nutzen. Ursprünglich wurde Knox allerdings mit Blick auf geschäftliche Anforderungen entwickelt. Samsung will Sicherheitsbedenken gegenüber Privatgeräten, die auch geschäftlich genutzt werden (Bring Your Own Device, BYOD), aus der Welt schaffen.
Unternehmen können sich nämlich offenbar nicht darauf verlassen, dass entsprechende Nutzungsverbote und Sicherheitsrichtlinien eingehalten werden. Im Rahmen des Business Discovery Day hat Samsung eine Studie vorgestellt, in der es heißt, dass 30 Prozent der Millenials (Nutzer zwischen 18 und 34 Jahren) bestehende Sicherheitsrichtlinien umgehen und beispielsweise nicht erlaubte Dienste wie Dropbox nutzen.
Warum Root und Knox sich nicht vertragen
Wer Superuser-Rechte auf seinem Android-Gerät freischalten wollte, war mit Samsung-Geräten in der Vergangenheit gut bedient. Die Smartphones des Herstellers lassen sich verhältnismäßig einfach rooten. Seit einigen Monaten häufen sich in den Android-Foren jedoch die Fragen, warum nach dem Root-Vorgang bei jedem Neustart die Meldung „Set Warranty Bit : Kernel“ auftaucht.
In der Vergangenheit wurde mithilfe eines Flash-Counters registriert, dass ein Anwender sein System auf eigene Faust aktualisiert oder sich Superuser-Rechte verschafft hatte. Dieser Zähler ließ sich beim Zurückspielen einer offiziellen Samsung-Firmware allerdings zurücksetzen. Bei Knox ist das nicht mehr möglich – und zwar aus gutem Grund.
Geht ein Android-Gerät verloren, so kann ein potenzieller Datendieb recht einfach auf den Speicher zugreifen, indem er das Gerät rootet. Samsung setzt deshalb auf die sogenannte On-Device Data Encryption, eine Hardware-basierte Verschlüsselung. Der Knox-Container ist somit zwar nach dem Advanced Encryption Standard (AES 256) verschlüsselt, die hinterlegten Schlüssel dürfen allerdings nicht in fremde Hände geraten.
Bei Veränderungen am System wird deshalb der Schlüsselspeicher, der auf einem sogenannten eFuse-Chip liegt, restlos zerstört. Damit sind auch die im Knox-Container gespeicherten Daten unwiederbringlich verloren. „Knox lässt sich nur wieder aktivieren, indem der entsprechende Chip im Service Point ersetzt wird“, erläuterte Neil Barclay, B2B Technical Lead bei Samsung Mobile Europe.
Dies ist der Grund, warum die Nutzer nach dem Rooten ihres Geräts die beschriebene „Warranty Bit“-Meldung sehen: Die Integrität des Betriebssystems ist schlichtweg nicht mehr gewährleistet.
Was bedeutet das für den Android-Nutzer?
Für den geneigten Superuser bedeutet das in erster Instanz, dass es schwieriger wird, ein gerootetes Samsung-Gerät weiterzuverkaufen. Denn das Smartphone lässt sich nicht mehr in der vom Hersteller vorgesehenen Weise nutzen, zumindest solange es Hardware-seitig nicht in den Auslieferungszustand zurückversetzt wurde.
Letztlich muss man einen Käufer finden, dem das egal ist – und rein rechtlich gesehen in Verkaufsangeboten explizit auf den Root hinweisen. Dies könnte in naher Zukunft für alle Android-Nutzer relevant werden, weil die Samsung-Funktion bereits mit der kommenden Android-Version L erstmals ausgeliefert werden soll.
Sobald Google die Knox-Funktionen in Android verankert, könnte dieses Problem also auch die Käufer neuer Android-Geräte betreffen. Allerdings ist noch nicht klar, welche Knox-Funktionen in Android integriert werden und wie oder ob andere OEM-Hersteller die Möglichkeiten anschließend ausschöpfen werden.
Mobile Device Management mit Samsung Knox
Mit Knox gibt Samsung den Unternehmen die Möglichkeit, flexibel gegenüber den „Millenials“ aufzutreten: In der Security Policy wird schlichtweg definiert, dass für geschäftliche Zwecke ein Container auf dem Gerät angelegt wird, über den das Unternehmen die Kontrolle hat. Dieser Teil des Mobilgeräts lässt sich über die Cloud verwalten, alternativ bietet Samsung auch On-Premise- und Partnerlösungen an.
Auf diesem Weg kann der IT-Administrator beispielsweise sicherstellen, dass der geschützte Bereich nur per Zwei-Faktor-Authentifizierung zugänglich ist. Neben einem Passwort kann dann beispielsweise der Fingerabdruck zur Identifizierung des Nutzers dienen. Die Android-Struktur wurde außerdem um wichtige Funktionen für Unternehmen erweitert, darunter VPN, Single-Sign-on und Integritätsmanagement.
Für das Mobile Device Management werden erweiterte APIs (Programmierschnittstellen) bereitgestellt, die eine Anpassung auf andere MDM-Suiten erlauben. Um die Kompatibilität zu bestehenden Infrastrukturen zu gewährleisten, werden die MDM-Suiten von Airwatch, MobileIron, SON, Citrix und SAP unterstützt.
Weitere Sicherheitsfunktionen
Auf Kernel-Ebene arbeiten Samsung-Geräte mit der Zugriffskontrollfunktion „SELinux“ (Security-Enhanced Linux, sicherheitsverbessertes Linux). Eine Ebene darunter, im Boot Loader, baut Samsung auf eine anpassbare Secure-Boot-Funktion. Diese verhindert unter anderem, dass sich unautorisierte Software auf dem Gerät festsetzt.
Auf Hardware-Ebene kommt TIMA (TrustZone-based Integrity Measurement Architecture, z.Dt.: Vertrauenszonen-basierte Integritätsprüfungs-Architektur) zum Einsatz. Im TIMA Keystore finden sich die kryptographischen Schlüssel für den Knox-Zugriff. TIMA stellt letztlich auch sicher, dass die Knox-Schlüssel nur freigegeben werden, solange die originale Kernel-Version ausgeführt wird. Weitere Details hierzu finden sich auf der Knox-Webseite von Samsung.
(ID:42769538)
:quality(80)/images.vogel.de/vogelonline/bdb/1883500/1883553/original.jpg "Damit E-Mail-Verschlüsselung auch genutzt wird, muss das komplexe Thema so umgesetzt werden, dass sich die Verschlüsselung leicht in den täglichen Betrieb integrieren lässt. (peterschreiber.media - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1937600/1937658/original.jpg "Dank verschlüsseltem Log-in lässt sich bei FIDO2 ein Anmeldevorgang nur mit dem zuvor registrierten Gerät entsperren, wodurch ein deutlich höheres Sicherheitslevel erreicht wird. (peshkov - stock.adobe.com)")